吳明宜資安業者發現,今年年中接連攻擊 Salesforce 的駭客組織 Scattered Lapus$ Hunters,最近將目標轉向 help desk 平台 Zendesk 從網釣網域發送假工單,以攻擊企業用戶。
ReliaQuest 研究人員發現,過去六個月來他們發現了 40 多個錯字 (typosquatted) 及假冒網域,像是 znedesk.com 、 vpn-zendesk.com 等來冒充 Zendesk 入口網站。有些網域提供假的單一簽入 (Single sign-on, SSO) 網頁來騙取帳號密碼,有的則寄發假工單給技術支援中心員工。
研究人員歸納所有釣魚網域的共同點是,都是由 NiceNic 註冊、都擁有美國或英國的聯絡人資訊,以及由 Cloudflare 遮罩的名稱伺服器 (nameserver),和年中攻擊 Salesforce 用戶的駭客幾乎如出一轍,因此研究人員推斷,這波攻擊正是「退休」的 Scattered Lapsus$ Hunters 所為。
這群駭客今年 8 月大肆攻擊了數十家知名 Salesforce 客戶,包括 Google 、思科、 LV 、安聯人壽等。
但 ReliaQuest 指出,這波攻擊不只是釣魚而已。他們是鎖定對象的精準入侵,將惡意工程寄到由合法公司營運的 Zendesk 入口,誘使客服人員點擊連結,而在其系統植入遠端存取木馬 (remote-access trojan, RAT) 。一旦成功,他們就可以此為據點,在受害企業網路橫向移動,並且悄悄竊取智慧財產或敏感資料。
這次研究發現讓人聯想起今年九月 Discord 資料外洩事件,該公司也是 Zendesk 支援系統被駭。當時這這起事件被認為是單純的資料外洩事件,駭客偷走了(其實也不少的)使用者名稱、電子郵件信箱、信用卡資訊和身份證資訊。
但 ReliaQuest 認為,如果這起事件是由 Scattered Lapsus$ Hunters 所為,則這波攻擊意謂著將支援平台納入了攻擊策略中。而且,駭客十一月初還很狂妄地在 Telegram 宣告,「等著 2026 年到來吧,我們還會發動 3 到 4 波攻擊,」而且警告,聖誕假期到 2026 年一月間網管人員最好留意 log,因為「#ShinyHuntazz 要來蒐集你的客戶資料庫了。」
ReliaQuest 研究人員相信,他們發現的 Zendesk 基礎架構是這波新攻擊的一部份。 Scattered Lapsus$ Hunters 也宣稱他們策畫了上個月客戶成功 (customer success ) 平台 Gainsight 的入侵。這家公司也是 Salesforce 合作廠商,Google 研究人員估計 200 多家 Salesforce 用戶受到波及。
來源:The Register